Dreamhack(web) - session 풀이 포스팅 썸네일 이미지

네트워크, 웹 (Network & Web)/Wargame

Dreamhack(web) - session 풀이

접속 시 위와 같은 화면이 나오고, 로그인할 수 있다. 혹시나 해서 설정파일을 봤는데, user의 목록을 확인할 수 있어서 guest로 로그인해봤다. 본문에 나온대로 admin으로 로그인해야하는데, 로그인할 수는 없고, 주어진 것은 세션이다. 신기한점은 os.urandom(바이트).hex()를 이용해서 쿠키를 만든다는 점인데, main함수 부분에서 이미 admin에 대한 세션을 os.urandom(1).hex로 만들고 있다. 1바이트 정도의 크기면 hex로 2글자니까. 이정도면 브루트 포싱으로 풀이할 수 있을 것 같았다. DH{73b3a0ebf47fd6f68ce623853c1d4f138ad91712}

2022.11.04 게시됨

Dreamhack(web) - web-deserialize-python 풀이 포스팅 썸네일 이미지

네트워크, 웹 (Network & Web)/Wargame

Dreamhack(web) - web-deserialize-python 풀이

접속 시 위와 같은 화면이 나오고, Create Session 과 Check Session 두 가지가 보인다. Create Session 같은 경우. Name Userid Password를 입력하여 세션을 만들 수 있는 것 같다. 이런식으로 만들어지는데, 자세히 살펴보니 끝이 =로 끝나 base64 인코딩한 것 같다. check session 에서는 방금 얻은 인코딩문을 넣어 어떤 내용으로 만들어졌는지 확인할 수 있는 것 같다. 플라스크 설정 파일을 보면 flag를 읽어야하는데, pickle 이라는 것을 이용하여, 튜플을 덤프 뜨고 있다. 구글링을 통해 pickle의 활용법을 확인하고, 취약점이 존재한다는 점도 확인했다. 덤프를 뜨고 객체를 바이너리로 사용할 때, 함수를 떠볼 수 있다는 사실! 취약점이 ..

2022.11.04 게시됨

Dreamhack(Web) - simple-ssti 포스팅 썸네일 이미지

네트워크, 웹 (Network & Web)/Wargame

Dreamhack(Web) - simple-ssti

flask 환경인 app.py 파일이 1개 제공된다. ssti 취약점답게 템플릿이 있고 % request.path 부분이 보인다. url에 입력한 값이 화면에 경로로 표시된다. 해당부분은 이 부분이다. url 에 템플릿을 입력하여 반응을 확인해본다. flask 기반이기에 flask 설정인 config를 템플릿으로 입력해본다. {{config}} 예상대로 설정값이 나오고 플래그를 확인할 수 있다. 또는 소스코드내에서 app.secret_key = FLAG 라는 것을 보았을 때, {{config['SECRET_KEY']}} 방식으로 flag를 뽑을 수 있다. 여기까지 해서 문제를 풀었는데, 다른 사람의 풀이를 보니 새로 알게된 방법도 있었다. os 라이브러리를 가져와서 그 안에있는 함수를 실행할 수 있다는 ..

2022.10.05 게시됨

Dreamhack(Web) - php-1 포스팅 썸네일 이미지

네트워크, 웹 (Network & Web)/Wargame

Dreamhack(Web) - php-1

LFI(Local File Inclusion) 취약점을 이용하여 문제를 풀어야하고, 파일을 4가지를 제공해준다. 먼저 index.php PHP Back Office Home List View list.php List http://blog.plura.io/?p=7602 LFI 대응방안 개요 LFI(Local File Inclusion) 취약점은 웹 브라우저를 통해 서버에 파일을 포함시키는 과정입니다. 이 취약점은 인클루드할 페이지 경로가 적절히 필터링되지 않았고 디렉토리 변경 명령어들의 삽 blog.plura.io LFI(Local File Inclusion) 취약점은 웹 브라우저를 통해 서버에 파일을 포함시키는 과정입니다. 이 취약점은 인클루드할 페이지 경로가 적절히 필터링되지 않았고 디렉토리 변경 명령..

2022.10.04 게시됨

반응형